Фреймворк The Update Framework (TUF) - это программный фреймворк, предназначенный для защиты механизмов, которые автоматически идентифицируют и загружают обновления для программного обеспечения. Библиотека tough - это Rust-клиент для репозиториев TUF. AWS обнаружила несколько проблем в версиях tough до 0.20.0, которые были исправлены в последнем выпуске. Проблемы включают в себя отсутствие проверки номера версии метаданных root, неверную проверку подписи, кэширование метаданных timestamp, несмотря на отклонение, и неполное обнаружение отката. Эти проблемы отслеживаются под номерами CVE-2025-2885, CVE-2025-2886, CVE-2025-2888 и CVE-2025-2887. Пострадавшие версии - это версии до 0.20.0. Чтобы решить эти проблемы, пользователям рекомендуется обновиться до версии tough 0.20.0 или более поздней. Исправления для этих проблем включены в последнем выпуске. AWS благодарит Google за сотрудничество в решении этой проблемы в рамках скоординированного процесса раскрытия уязвимостей. Пользователи, у которых есть вопросы или проблемы, связанные с безопасностью, могут написать по адресу [email protected].